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A process automation system in which process devices (1 -6) execute 

predetermined functions as part of the process automation and 

exchange data (23, 24) relevant to functions and/or devices with the 

process automation system. Some but not all of the data (23, 24) are 

exchanged in encrypted form. 
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@ Prozessautomat'isierungssystem und Prozessgerat fur ein Prozessautomatisierungssystem 
(57) In einem Prozessautomatisierungssystem, in dem Pro- i — ij^j i 1,1 7 



In einem Prozessautomatisierungssystem, in dem Pro- 
zessgerate (1 bis 6) vorgegebene Funktionen im Rahmen 
der Prozessautomatisierung ausfuhren und dabei mit 
dem Prozessautomatisierungssystem funktions- und/ 
Oder ge rate re leva nte Daten (23, 24) austauschen, wird zu- 
mindest ein Teil der Daten (23, 24) verschlusselt ausge- 
tauscht. 
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Bcschreibung 

[0001] Die Erfindung bctriffi ein Prozessautomatisie- 
rungssystem und ein Prozessgerai fur ein Prozessauloinati- 
sierungssystem. 

[0002] in zunehmendeni MaBe ergibt sich die Forderung 
nach einer Ubertragung von Daten zwischen eineiii Prozess- 
automatisierungssystem oder Teilen oder Komponenten da- 
von und exiemen Stellen. Beispiele dafur sind Fempro- 
grammicrung, Femparametrierung, Femwartung oder Fern- 10 
diagnose. So ist es aus derDE 198 48 618 Al bekannl, zur 
Fernwartung und/oder Diagnose von der extemen S telle an 
das Prozessautomatisierungssystem zu ubertragende Daten, 
z. B. ein Steuerbefehl, in cine E-Mail zu verpacken, diese an 
das Prozessautomatisierungssystem zu adressieren und dort- 15 
bin abzusenden. Innerhalb des Prozessautomatisierungssy- 
stems wird die E-Mail von dem Adressaten empfangen, der 
den Steuerbefehl durch Dccodicrcn cxtrahicrt und an die 
Anwendung, fur die der Steuerbefehl bestimmt ist, weiter- 
leitet. Umgekehrt konnen in gleicher Weise Daten von deni 20 
Prozessautomatisierungssystem an exteme Stellen ubennit- 
telt werden. Spezielle Daienverbindungen zwischen dem 
Prozessautonialisieningssysteni und den extemen Stellen 
sind dazu nicht erforderlich, well standardmaBige Daten- 
ubertragungssysleiiie (globale und/oder lokale Datennetze, 25 
wie z. B. Internet bzw. Intranet) in Verbindung mit einem 
elektronischen Schutzwall (Firewall) um das Prozessauto- 
matisierungssystem verwendet werden konnen, wobei der 
elektronische Schutzwall fur die E-Mails durchlassig ist 
(sog. E-Mail-Tunneling). 30 
[0003] Zur Erhohung der Sicherheit gegen ein unerlaubtes 
Eindringen in den Schutzwall des Prozessautomatisierungs- 
systems konnen die in der E-Mail verpackten Daten ver- 
schlusselt und anschlieBend beim Extrahieren aus der E- 
Mail wieder entschlusselt werden, bevor sie weitergeleitei 35 
werden. Dabei erfolgt die Verschlusselung der an die ex- 
teme Stelle zu ubermiltelnden Daten bzw. die Entschliisse- 
lung der von der extemen Stelle empfangenen Daten inner- 
halb des Prozessautomatisiemngssystems in einer einzigen 
Verschliisselungs- bzw. Entschlusselungsvorrichtung. Es ist 
daher nicht ohne weiteres moglich, einen ausgewalilten Teil 
der Daten, z. B. sicherheitsrelevante Daten, verschlusselt 
und die ubrigen Daten unverschlusselt zwischen dem Pro- 
zessautomatisierungssystem und der extemen Stelle auszu- 
tauschen. Statt dessen werden, soweit eine Verschlusselung 
vorgesehen ist, alle iiber den elektronischen Schutzwall aus- 
zutauschenden Daten pauschal verschlusselt, was mil einem 
entsprechenden Aufwand und einer Reduzierung dexDaten- 
ubertragungsgeschwindigkeit verbunden ist. Ferner ist der 
Austausch der verschliisselten Daten zwischen dem Pro- 
zessautomatisierungssystem und den extemen SteUen auf 
den Weg uber die Verschlusselungs- und Entschlusselungs- 
vorrichtung in dem Prozessautomatisierungssystem be- 
schrankt, so dass es nicht moglich ist, verschlusselte Daten 
an unterschiedlichen Orten innerhalb des Prozessautomati- 
siemngssystems zu kommunizieren. SchlieBlich sind zu 
sendende Daten vor ihrer Verschlusselung und empfangene 
Daten nach ihrer Entschliisselung innerhalb des Prozessau- 
tomati siemngssy stems manipulierbar. 
[0004] Die Verschlusselung vertrauUcher Daten vor ihrer 
Ubertragung an einen Empfanger ist allgemein bekannt. Bei 
dem so genannten offentlichen Verschlusselungsverfahren 
verwendet der Sender einen offentlichen Schlussel des be- 
rechtigten Empfangers zur Verschlusselung der Daten, so 
dass nur dicscr die Daten mit scincm cigcncn privatcn 
Schlussel entschlusseln kann. Die Authentifiziemng des 
Senders kann durch Signieren der Daten erfolgen. Dazu ver- 
schlusselt der Sender die Daten mit seinem eigenen privaten 
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Schlussel, wahrend der Eniptangcr zur Enischlusselung der 
Daten den offentliclien Schlussel des Senders verwendet. 
Mil offentlichen Schlusseln verschlusselte Daten sind nicht 
notwendigerweise authentisch, wahrend mit privaten 
" Schlusseln signierte Daten nicht verlraulich sind. Zur Her- 
stellung von Vertraulichkeit und Authentizitat konnen daher 
Verschlusselung und Signierung kombiniert werden, wozu 
der Sender die Daten zunachst mit dem eigenen privaten 
Schlussel und anschlieBend mit dem offentlichen Schlussel 
des Empfangers verschlusselt. Um schlieBIich auch noch die 
Integritat, d. h. die Unverfalschtheit, der ubertragenen Daten 
zu gewahrleisten, kann der Sender aus den Daten einen 
Prufcode bestimmen, der signiert, d. h. mit dem sendereige- 
nen privaten Schlussel verschlusselt, an den Empfanger 
iibertragen wird. Der Empfanger entschlusselt den Prufcode 
mit dem offentlichen Schlussel des Senders und vergleicht 
den so entschlusselten Prufcode mit dem aus den empfange- 
nen Daten bcrcchnctcn Prufcode; wcnn bcidc Prufcodcs 
gleich sind, ist die Integritat der Daten gesichert. 
[0005] Der Erfindung liegt die Aufgabe zugrunde, eine 
flexible und zugleich sichere Handhabung ausgewahlter 
wichtiger Daten eines Prozessautomatisiemngssystems zu 
ermoglichen. ^ 
[0006] GemaB der Erfindung wird die Aufgabe durch das 
Prozessautomatisierungssystem nach Anspruch 1 bzw. das 
Prozessgerat nach Anspmch 5 gelost, 

[0007] Vorteilhafte Weiterbildungen des erfindungsgema- 
Ben Prozessautomatisiemngssystems bzw. Prozessgerats 
sind in den Unteranspnichen angegeben. 
[0008] In dem erfindungsgemaBen Prozessautomatisie- 
mngssystem fuhren Prozessgerate vorgegebene Funktionen 
im Rahmen der Prozessautomatisiemng aus und tauschen 
dabei mit dem Prozessautomatisierungssystem funktions- 
und/oder geriiterelevante Daten aus, wobei zumindest ein 
Teil der Daten verschlusselt ausgetauscht wird. 
[0009] Das erfindungsgemaBe Prozessgerat fiir ein Pro- 
zessautomatisiemngssystem enthalt eine Funktionseinrich- 
tung zur Ausfiihmng vorgegebener Funktionen im Rahmen 
der Prozessautomatisiemng und eine mit der Funktionsein- 
40 richtung verbundene und an das Prozessautomatisiemngssy- 
stem anschlieBbare Kommunikationseinrichtung zum Aus- 
tausch funktions- und/oder geraterelevanter Daten mit dem 
Prozessautomatisierungssystem, wobei die Kommunikati- 
onseinrichtung den Austausch zumindest eines Teils der Da- ^ 
45 ten verschliisselt durchfuhrende Mittel aufweist. 

[0010] Die Verschlusselung bzw. Entschlusselung von 
Daten erfolgt in den Prozessgeraten, also den Sendem und 
Empt^angem der Daten, wobei die verschlUsselten Daten in- 
nerhalb des Prozessautomatisiemngssystems auf dieselbe 
50 Weise wie un verschlusselte Daten kommuniziert werden. 
Unter Prozessgeraten sind Feldgerate, Wartengerate und 
sonstige Endgerate zu verstehen, also bei spiels weise Mess- 
umformer, Aktoren, Antriebe, Analysengerate, Steuemngen 
und Regler. So sind z. B. Messumformer Sender von Mess- 
55 daten und Empfanger von Parametriemngsdaten, die zu ih- 
rer Parametriemng dienen. In dem Umfange, in dem diese 
Daten als sichemngsbediirftig angesehen werden, werden 
sie iiber die Kommunikationseinrichtung des Messumfor- 
mers verschlusselt mit dem Prozessautomatisierungssystem 
60 ausgetauscht; andere, nicht als sichemngsbedurftig einge- 
stufte Daten werden unverschlusselt ausgetauscht. Je nach 
Verschlusselung sind die verschliisselten Daten gegen Mani- 
pulation geschutzt und/oder konnen nur von einem berech- 
tigten Empfanger empfangen werden, wobei zusatzlich der 
65 Sender authcnlifizicrbar ist. Sender und Empfanger von Da- 
ten konnen gleichermaBen die Prozessgerate innerhalb des 
Prozessautomatisiemngssystems wie auch exteme Stellen 
sein, die beliebig an das Prozessautomatisiemngssystem an- 
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gckoppcli wcrdcn konnen. 

|<Kn]] In dcr Hardware, durch Prograniniierung odcr 
durch ggf. vcrschliisseli durchzufiilircnde Paramelrierung 
der Prozessgerate ist feslgelegu welche Daren als siche- 
rungsbedurllig gellen und verschlusselt. auszulauschen sind. 5 
So werden sicherungsbcdurftigc Sendcdalen aulomalisch 
verschlussell, bevor sie abgesandl werden, und enipfangene 
Daien konnen nur nach Entschliisselung in dem Prozessge- 
rai weiierverarbeiiei. werden. Dabei kann ein Teil der Daren 
sowohl un verschlusselt als auch parallel dazu verschlusselt lO 
ausgelauschl werden. Ein Beispiel hierfiir sind Messdaten, 
die sowohl in dem Prozessautonialisierungssysieni ini Rah- 
men der Steuerung und Regelung unverschlussell weiterver- 
arbeilet werden als auch bei eichpflichtigen Applikationen 
Oder fur ainlliche Uberwachungszwecke verwendet und 15 
dazu verschlussell wcrdcn. So konnen z. B. eichfahige Wa- 
gedaien von Induslriewaagen verschlussell an einen exter- 
ncn Dalcnspcichcr odcr cine Anzcigc ausgcgcbcn wcrdcn, 
ohne dass der Daleniibcrtragungsweg gekapselt werden 
nmss. und gleichzeilig mit den unverschlusselten Wageda- 20 
ten beispielsweise ein Abfiillvorgang gesteuert werden. Da 
hier z. B. die verschliisselien Daten im Wesentlichen fur Re- 
gistrierungszwecke verwendet werden, kann vorgesehen 
werden, dass die verschlussellen Daten gegenuber den un- 
verschlusseUen Daten nachrangig, d. h. niil niedrigerer Prio- 25 
riiat, koinmuniziert. werden, so dass die Steuerung und Re- 
gelung mit den unverschlusselten Daten nicht. beeintrachtigt 
wird. Dabei kann insbesondere vorgesehen werden, dass 
verschlusselie Daien zunachst, ggf. mit Zeitstempeln verse- 
hen, gesammelt werden, bevor sie zu eineni spateren Zeit- 30 
punkt beispielsweise in einem Datenpaket gebundell kom- 
munizien werden. 

[0012] Zur weiteren Eriauterung der Erfindung wird im 
Folgenden auf die Figuren der Zeichnung Bezug genom- 
nien; im Einzelnen zeigen 3.S 
[0013] Fig, 1 ein Ausfuhrungsbeispiel des erfindungsge- 
niaBen Prozessautomatisierungssystems und 
[0014] Fig. 2 ein Ausfulirungsbeispiel des erfindungsge- 
maBen Prozessgerats. 

[0015] Fig. 1 zeigl in schematise her Darstellung ein Pro- 40 
zessautomalisiei-ungssystem mit einer Vielzahl von Prozess- 
geraten, die vorgegebene Funktionen im Rahnien der Pro- 
zessautomatisierung ausfiihren und dabei funktions- und/ 
Oder geraterelevante Daten mit dem Prozessautomatisie- 
rungssystem austauschen. Unter Prozessgeraten sind hier 45 
Datenendgerate, also Sender und Empfanger von Daten zu 
verstehen. Insbesondere gehoren dazu Feld- und Wartenge- 
rate, z. B. Messumfonner 1 fur Druck, Temperatur, Durch- 
fluss, Fiillstand usw., Analysengerate 2 fur Gas- oder Fliis- 
sigkeitsanalyse, Wagesysleme 3, Stellungsregler fiir Ventile 50 
und sonstige dezentrale Regler 4, Stellantriebe 5, Registrier- 
und Anzeigegerate 6. Zum Austausch der Daten innerhalb 
des Prozessautomatisierungssystems sind die Prozessgerate 
im dezentralen Peripheriebereich zusammen mit dezentraler 
Steuerung und Regelung 7 und Bedienung und Beobachtung 55 
8 liber Feldbusse 9 oder andere Kommunikationswege niit- 
einander vcrbunden, wobei unterschiedliche Feldbusse 9 
uber Buskoppler 10 initeinander verbunden sind. Die Feld- 
busse 9 sind wiederuni uber Steuereinrichtungen 11 an ei- 
nem zentralen Anlagenbus 12 angebunden, an dem auch 
eine zentrale Steuerung und Regelung 13 und Bedienung 
und Beobachtung 14 angeschlossen ist. Der Anlagenbus 12 
isl uber eine Koppeleinrichtung 15 mit einem globalen 
Konimunikationsnetz 16, z. B. Internet, verbunden, uni ei- 
nen Datcnaustausch mit cxtcmcn Slcllcn 17 beispielsweise 65 
zur Femwartung, -diagnose, -parametrierung, -iiberwa- 
chung usw, des Prozessautomatisierungssystetns bzw. ein- 
zelner Prozessgerate zu emioglichen. SchlieBlich konnen 
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wciiere ex i erne Siellcn IK, z. B. Programmicr-, Diagnose- 
oder Scrvicegerate an unterschiedlichen Punkten des Pro- 
zessautomatisierungssystems angekoppelt werden. 
[0016] Vorgegebene .sicherungsbedurftige Daten des Pro- 
zessautomatisierungssystems werden verschlusselt ausge- 
tauscht, wobei je nach Verschlusselung sichergestellt ist, 
dass diese Daten auf dem Wege von dem Sender zu dem 
Empl-anger oder den Empfangern gegen Manipulation ge- 
schiitzt sind und/oder nur von einem berechtigten Empfan- 
ger empfangen werden konnen, wobei zusatzlich der Sender 
authentifizierbar ist. Die Verschlusselung bzw. Entschliisse- 
lung ertblgt in den Datenendgeraten, also den Sendem bzw. 
Empfangern, hier den Prozessgeraten bzw. extemen Stellen, 
wobei die verschliisselten Daten innerhalb des Prozessauto- 
matisierungssystems genauso wie unverschliisselte Daten 
iibertragen werden. 

[0017] Fig. 2 zeigt ein Prozessgerate hier z. B. einen Mess- 
umfomicr 1 mit cincr Funktionscinrichtung 19 zur Ausfiih- 
rung der Messfunktion und mit einer mit der Funktionscin- 
richtung 19 verbundenen und an das Prozessautomatisie- 
rungssystem, hier den Feldbus 9, anschheBbaren Komniuni- 
kationseinrichtung 20 zum Austausch funktions- und/oder 
geraterelevanter Daten mit dem Prozessautoniatisierungssy- 
steni. Die Funktionseinrichtung 19 umfasst einen Sensor 21 
und eine Messwerterfassung und -berechnung 22, die Mess- 
daten, Diagnosedaten und sonstige gerate- oder funktions- 
spezifische Daten 23 generiert und Befehls-, Paranielrier- 
und sonstige ihr zugefuhrte Daten 24 verarbeitet. Diese Sen- 
dedaten 23 und Empfangsdaten 24 werden iiber die Koni- 
munikationseinrichtung 20 des Messumfomiers 1 mit dem 
Prozessautomatisierungssystem ausgetauscht, Durch Hard- 
wareverschaltung oder Programniierung ist festgelegt, wel- 
che der Sendedaten 23 in einer Verse hlusselungsvorrichtung 
25 verschlusselt werden. Bei Empfangsdaten 24 erkennt die 
Kommunikationseinrichtung 20, welche der Daten ver- 
schlusselt sind und entschliisselt diese in einer Entschlussel- 
ungsvorrichtung 26. Die Verschlusselung bzw. Entschliisse- 
lung der Daten 23 und 24 erfolgt hier nach dem offentlichen 
Verschliisselungsverfahren. Dazu enthalt jedes Prozessge- 
rat, hier also der Messumformer 1, einen eigenen privaten 
Schliissel sowie einen dazu konespondierenden offentlichen 
Schlussel, wobei die Schliissel in dem Messumformer 1 hin- 
terlegt oder von diesem selbst generiert werden. Iin Unter- 
schied zu dem unzuganglich abgespeicherten privaten 
Schlussel wird der offentliche Schlussel bei der Einbindung 
des Messumformers 1 in das Prozessautomatisierungssy- 
stem, z. B. bei der Inbetriebnahme, einer zentralen Schliis- 
selverwaltung 27 (Fig. 1) mitgeteilt, fur die ein separates 
Gerat vorgesehen sein kann oder die in einem bereits vor- 
handenen Gerat, z. B. einer speicherprogrammierbaren 
Steuerung, des Prozessautomatisierungssystems implemen- 
tiert ist. Exteme Stellen 18, die mit Prozessgeraten Daten 
austauschen wollen, melden sich zuvor automatisch bei der 
Schliisselverwaltung 27 an und hinterlegen dort nach Uber- 
priifung ihrer Identitat ihren jeweiligen offentlichen Schliis- 
sel. Die zentrale Schlusselverwaltung 27 gewahrleistet die 
Authentizitat der verwaltelen offentlichen Schlussel, indem 
diese jeweils mit dem privaten Schliissel der Schliisselver- 
waltung 27 signiert werden, so dass mit Hilfe des offenth- 
chen Schliissels der Schlusselverwaltung 27 jederzeit die 
Authentizitat der offentlichen Schliissel gepruft werden 
kann. 

[0018] Ist z. B. vorgesehen, dass die Einstellung eines be- 
stimmten Parameters in einem Prozessgerar, z. B. 4, nur 
durch cine autorisicrtc cxtcrnc Slcllc 18 moglich scin soil, 
so wird der an das Prozessgerat 4 zu ubertragende Einstell- 
wert in der externen Stelle 18 derart verse hi iisselt. dass die 
Integrilat des Einstellwerts beim Empfang durch das Pro- 
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zessgerai 4 sichergesiclll isi und dass femerdas Prozessge- 
ral 4 die Identiiat der extemen Stelle 18 und damit deren Be- 
rechtigung zur Paranietereinstellung feslstellen kann. 
[0019] Hs kann vorgesehen sein, dass ein und dieselben 
Daten, hier z. B. die Messdaten des Messumformers 1, an 
bestimmte Empfanger, z. B. ein eichpflichtiges Registrier- 
oder Anzeigegerat, verschlusselt und an andere Empfanger, 
z.B. die Messdaten weiterverarbeitende Regler, un ver- 
schlusselt Ubertragen werden. In der Regel werden nur die- 
jenigen Daten verschlusselt. ubertragen, die sicherungsbe- 
durftig sind; alle ubrigen Daten, insbesondere die zur Pro 
zesssteuerung und -regelung dienenden Daten, werden iiber- 
wiegend unverschliisselt ubertragen. Um die Prozesssteue- 
rung und -regelung nichi zu beeintrachligen, werden die un- 
verschlusselten Daten niit hoherer Prioritat als die ver- 15 
schlusselten Daten kominuniziert, wozu die verschlusselten 
bzw. zu verschlusselnden Daten zunachst in einem Speicher 
28 dcs Prozcssgcrats 1 gcsammclt werden konncn. 
[0020] Die hier beschriebene Datenverschlusselung er- 
moglicht also insbesondere eine falschungssichere Fempa- 20 
rametrierung von Prozessgeraten oder einen autorisierten 
Service von beliebigen Stellen aus, eine sichere amtliche 
tJberwachung von Messwerten oder Prozesszustanden, eine 
falschungssichere Ubertragung von sicherheitsrelevanten 
und/oder verlraulichen Dalen, Diagnosedalen oder Anlagen- 25 
parametem, wie z.B. Rezepturen, die UberUragung von 
eichfahigen Daten ohne das Erfordemis einer Kapselung der 
Ubertragungswege, uvm. 

Patentanspruche ^ 

1. Prozessautomatisierungssystem, in dem Prozessge- 
rate (1 bis 6) vorgegebene Funktionen im Rahmen der 
Prozessautomatisierung ausfuhren und dabei niit dem 
Prozessautomatisierungssystem funktions- und/oder 35 
geraterelevante Daten (23, 24) austauschen, wobei zu- 
mindestein Teil der Daten (23, 24) verschlusselt ausge- 
tauscht wird, 

2. Prozessautomatisierungssystem nach Anspruch 1, 
dadurch gekennzeichnet, dass zumindest ein Teil der 40 
Daten (23, 24) verschlusselt und parallel dazu unver- 
schliisselt ausgetauscht wird. 

3. Prozessautomatisierungssystem nach Anspruch 1 
Oder 2, dadurch gekennzeichnet, dass verschlusselte 
Daten gegenuber unverschlusselten Daten nachrangig 45 

ausgetauscht werden. 

4. Prozessautomatisierungssystem nach Anspruch 3, 
dadurch gekennzeichnet, dass verschlusselte Daten zu- 
nachst in einem Speicher (28) des Prozessgerats (1) ge- 
sammelt und danach ausgetauscht werden. 50 

5. Prozessgerat (1) fiir ein Prozessautomatisierungssy- 
stem mit einer Funktionseinrichtung (19) zur Ausfuh- 
rung vorgegebener Funktionen im Rahmen der Pro- 
zessautomatisierung und mit einer mit der Funktions- 
einrichtung (19) verbundenen und an das Prozessauto- 55 
matisierungssystem anschlicBbaren Koimnunikations- 
einrichtung (20) zum Austausch funktions- und/oder 
geraterelevanter Daten (23, 24) mit dem Prozessauto- 
matisierungssystem, wobei die Koinmunikationsein- 
richtung (20) den Austausch zumindest eines Teils der 60 
Daten (23, 24) verschlusselt durchfuhrende Mittel (25, 
26) aufweist. 

Hierzu 1 Seite(n) Zeichnungen 
, 65 
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